Большое количество критичных для бизнеса многопользовательских
информационных систем, увеличение числа пользователей ведут к снижению уровня информационной безопасности, росту затрат на администрирование ИТ- систем, усложнению процедур согласования прав доступа.
Ежедневно появляются проблемы, требующие решения:
: У пользователей ИТ-систем и ИТ-услуг:
Как запросить доступ к ИТ-системе для меня?
Как запросить доступ к ИТ-системе для моего сотрудника? Кто должен утвердить доступ? Почему не прошло согласование? Когда доступ будет предоставлен? Почему так долго?
У ИТ-поддержки:
Кто может запросить изменение доступа?
Кто утверждает доступ в эту систему? На основании чего? Как гарантировать время выполнения запросов? Предоставление прав к ИТ-системам требует всё больше и больше времени. Как обосновать очередное увеличение штата? Никто заранее не информирует о новых сотрудниках, перемещениях, увольнениях, …
У отдела информационной безопасности
Кто отвечает за доступ к этой системе?
Кто предоставил доступ к этой системе этому пользователю, когда, на основании чего, кто запросил, кто утвердил? Как избавиться от ничейных активных учётных записей? Сколько у нас устаревших неиспользуемых, но активных учётных записей? Действительно ли этим пользователям нужны такие широкие права? Отзыв прав доступа занимает слишком много времени
Для решения перечисленных выше проблем крупные и средние компании все
чаще используют процесс управления доступом. Управление доступом - это процесс, позволяющий пользователям использовать услуги, включенные в Каталоге услуг. Он включает следующие основные принципы и термины: ■ Под Доступом понимается уровень и объем функциональности услуги или данные, которыми пользователь авторизован воспользоваться. ■ Под Идентификатором понимается информация о пользователе, которая идентифицирует его как индивид, и которая контролирует его статус в организации. По определению Идентификатор пользователя уникален для каждого пользователя. ■ Под Правами (также называемыми Привилегиями) понимаются актуальные настройки, при помощи которых пользователю обеспечивается доступ к услуге или группе услуг. Обычно Права или уровни доступа включают чтение, запись, выполнение, изменение, удаление. ■ Услуги или группы Услуг. Большинство пользователей не используют только одну услугу, и пользователи, выполняющие сходный набор видов деятельности, обычно пользуются сходным набором услуг. Вместо того чтобы отдельно предоставлять каждому пользователю доступ к каждой услуге, более эффективно одновременно предоставлять каждому пользователю - или группе пользователей - доступ ко всему набору услуг, которыми они имеют право пользоваться. ■ Под Службой каталогов (Directory Services) понимается специфический тип инструментов, который используется для управления Доступом и Правами.
Управление доступом помогает обеспечить конфиденциальность, целостность и
доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ или модифицировать активы. Основным драйвером процесса является процесс Управления информационной безопасностью, так как именно он формирует политики и правила, которые реализуются процессом Управления доступом. Ценность процесса управления доступом
Управление доступом предоставляет ценность бизнесу благодаря тому, что:
каждый сотрудник имеет уровень доступа, необходимый для выполнения
своих обязанностей; контролируемый доступ к активам позволит организации поддерживать необходимый уровень конфиденциальности информации; уменьшение вероятности ошибочных действий при работе с данными или использовании критичной услуги; аудит использования услуг и отслеживание некорректной работы с ними; быстрое лишение прав при возникновении необходимости; может понадобиться для обеспечения соответствия требованиям регуляторов (например. SOX, COBIT).
Рассмотрим виды деятельности по Управлению доступом:
Основные деятельности процесса
■ Запрос доступа — Доступ (или его ограничение) может быть запрошен при помощи одного из существующих механизмов, включая: Стандартный запрос, сделанный системой Управления кадрами . Например, при найме нового сотрудника, увольнении, переводе в другой отдел и т.п. Запрос на изменение Запрос на обслуживание, поданный через систему Обработки запросов Путем выполнения предварительно авторизованного скрипта или опции (например, скачивание приложения с центрального сервера). ■ Верификация — при Управлении доступом необходимо верифицировать каждый запрос на доступ к ИТ - услуге с двух точек зрения: • То, что пользователь, запрашивающий доступ, действительно является тем, за кого он себя выдает - например, при помощи проверки принадлежности имени пользователя и пароля • То, что пользователь имеет законное право на использование этой услуги - например, при помощи получения авторизации от соответствующего (определенного в процессе) руководителя Первый пункт проверяется обычно с помощью предоставления имени и пароля - они доказывают то, что пользователь является легитимным. В некоторых организациях могут быть использованы eToken, биометрическая аутентификация и т.п. Вторая категория требует некоторой независимой проверки, не связанной с запросом. Например: - Уведомление от Управления кадрами о том, что это новый сотрудник и ему необходим доступ к стандартному набору услуг; - Уведомление от Управления кадрами о том, что сотрудник получил повышение по службе и ему необходим доступ к дополнительным услугам; - Подтверждение от соответствующего процессу менеджера; - Предоставление запроса на обслуживание (с обоснованием) через Service Desk; -предоставление запроса на изменение через процесс Управления изменениями; -политика безопасности, в которой оговорено то, что пользователи могут получить доступ к услугам, если они им необходимы. Для всех новых услуг должны быть четко определены пользователи и группы, которые будут иметь к ним доступ.
■ Предоставление прав — Управление доступом не решает, кто к каким
ИТ услугам имеет доступ. Управление доступом выполняет политики и правила, определенные на стадиях Стратегии и Проектирования услуг. Управление доступом выполняет решения, связанные с ограничением или предоставлением доступа, а не принимает такие решения. Как только пользователь прошел стадию верификации, Управление доступом предоставляет пользователю права на использование запрошенных услуг. ■ Мониторинг статуса Идентификатора — в течение времени работы пользователей в организации их роли могут меняться, соответственно меняются и их нужды в доступе к услугам. Примерами таких изменений могут быть: • изменение обязанностей - в этом случае пользователю может понадобиться доступ к другому набору услуг или просто к дополнительным услугам; • повышение или понижение в должности - в этом случае пользователю обычно необходим доступ к тому же набору услуг, но с другими уровнями; • перевод - в этом случае пользователю чаще всего нужен будет тот же набор услуг, но в другом регионе и с другими данными; • отставка или смерть - в этом случае все доступы должны быть немедленно аннулированы; • выход на пенсию - в этом случае доступы либо аннулируются, либо ограничиваются. Например, сотрудник, вышедший на пенсию, может иметь доступ к услугам по покупке продуктов своей компании по сниженной цене; • дисциплинарное ограничение - временное ограничение доступа пользователя из-за какой-то провинности; • увольнение - в этом случае доступы должны быть немедленно аннулированы во избежание инцидентов безопасности.
■ Регистрация и отслеживание Доступа — Управление доступом
должно не только отвечать на запросы. Этот процесс также отвечает за то, чтобы права, предоставляемые процессом, использовались должным образом. Поэтому функция контроля доступа должны быть предусмотрена в рамках деятельностей мониторинга. Если возникают какие-то нарушения, они характеризуются как инциденты безопасности. Управление доступом принимает участие в определении настроек систем обнаружения вторжений ■ Лишение прав или их ограничение — помимо того, что Управление доступом отвечает за предоставление прав, процесс также отвечает и за их аннулирование. Решение по аннулированию прав принимается не в рамках процесса, процесс выполняет положения политик и решения, принятые ответственными лицами. Обычно это делается при следующих обстоятельствах: смерть, выход на пенсию, увольнение, изменение должностных обязанностей, приведшее к ненужности прав доступа к данной услуге, перевод или командировка в регион, где используются другие локальные права доступа